Informática Forense William Ivan Alejandro Llanos Torrico www.llanos.org

Dispositivos de almacenamiento Los datos nos se borran completamente

Fuente: http://buscon.rae.es/draeI Etimología El término "forense" se tiene que entender como un sinónimo de “legal” o “relativo al juzgado” Fuente: http://buscon.rae.es/draeI

Definición y objetivo La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada.

Definición La informática forense en una ciencia que involucra: - la ubicación - recuperación - preservación, - identificación, - extracción, - documentación - interpretación y - presentación de datos que han sido procesados electrónicamente y guardos en un medio computacional con fines legales.

Quiénes usan la Informática Forense? Jueces y fiscales (materia penal) Jueces (materia civil) Compañias de seguro Corporaciones privadas Policías Personas particulares Requerimiento de forenses informáticos

Escena del crimen

Escena del crimen

RFC 3227 Guía para la recolección y almacenamiento de evidencias Las evidencias de cara a un juicio o a la resolución de un caso, son una parte fundamental (si no la máxima) desde el punto de vista informático para la resolución de la causa. Las circunstancias varían en función de muchas características: - Los sistemas operativos involucrados. - Donde se encuentra la información. - Las consecuencias legales. - Que herramientas utilizamos para la toma de información Esta RFC por lo tanto tiene que ser tomado como lo que es: un guía, no un dogma de Fe.

Requerimientos Hardware BIOS Familiaridad con dispositivos internos y externos de un computador Profundo conocimiento de discos duros y configuraciones Conocimiento de tarjetas madre y configuración de chips Conexiones de alimentación Memorias BIOS Entender cómo funcina el BIOS Familiaridad con varios tipos de configuración y limitaciones de BIOS

Requerimietos (cont) Sistemas Operativos Software Windows 3.1/95/98/ME/NT/2000/2003/XP DOS MAC LINUX Software Familiaridad con la mayoría de los paquetes comerciales populares Herramientas forenses Familiaridad con las técnicas forenses

Pasos a seguir 1/28 Inventario

Pasos a seguir 2/28 Fotografiar los equipos

Pasos a seguir 3/28 Fotografiar las conexiones

Pasos a seguir 4/28 Fotografiar pantallas

Recolección de información volátil Pasos a seguir 5/28 Recolección de información volátil 1. date and time RFC 3227

Recolección de información volátil Pasos a seguir 6/28 Recolección de información volátil 2. netstat -na Conexiones activas

Recolección de información volátil Pasos a seguir 7/28 Recolección de información volátil 3. ipconfig /all Configuración de red

Recolección de información volátil Pasos a seguir 8/28 Recolección de información volátil 4. systeminfo Información del sistema

Recolección de información volátil Pasos a seguir 9/28 Recolección de información volátil 5. doskey /history Histórico de comandos

Recolección de información volátil Pasos a seguir 10/28 Recolección de información volátil 5. psloggedon.exe Usuarios logueados al sistema

Recolección de información volátil Pasos a seguir 11/28 Recolección de información volátil 5. pslist.exe Procesos corriendo

Pasos a seguir 12/28 Desconectar la conectividad

Pasos a seguir 13/28 Guardar la evidencia

Proteger la cadena de custodia Pasos a seguir 14/28 Proteger la cadena de custodia - ¿ Qués es la evidencia ? - ¿ Cómo se la obtuvo ? - ¿ Cuando fue obtenida ? - ¿ Quién la obtuvo ? - ¿ Donde viajo y donde fue guardada ?

Adquisición/preservación de la evidencia por HW Pasos a seguir 15/28 Adquisición/preservación de la evidencia por HW www.tableau.com

Pasos a seguir 16/28 Adquisición/preservación de la evidencia por SW

Autenticación de la evidencia Pasos a seguir 17/28 Autenticación de la evidencia ¿ Qué es un Hash ? - Método para generar una firma que represente de manera unívoca a un archivo. - Algunos algoritmos criptográficos usados: MD5 o SHA-1. - Gran cantidad de programas, como md5sum o md5deep. - http://www.forensicswiki.org/index.php?title=Hashing ¿ Para qué sirve ? - Verificar que la evidencia no se ha modificado. - Identificar unívocamente a un archivo. - Realizar búsquedas de Hashes.

Pasos a seguir 18/28 Identificación Datos que serán recuperados y herramientas que serán utilizadas NO SE EMPIEZA una análisis explorando archivos al azar

Análisis de la papelera de reciclaje Pasos a seguir 19/28 Análisis de la papelera de reciclaje ¿ Cómo funciona la Papelera de Reciclaje ? • Directorio oculto “RECYCLER”. • Directorios con el SID de cada usuario. • Posee un archivo oculto llamado INFO2. ¿ Dónde se guarda el archivo INFO2 ? • Windows 95/98/ME c:\Recycled\INFO2 • Windows NT/2k/XP/2k3/V c:\Recycler\<SID del Usuario\INFO2> http://www.foundstone.com/us/resources/termsofuse.asp?file=rifiuti.zip

Análisis de la papelera de reciclaje Pasos a seguir 19/28 Análisis de la papelera de reciclaje - “cd RECYCLER” - “dir /ah”

Pasos a seguir 20/28 Análisis de metadatos Documentos, tales como, Word, Excel, Powerpoint, etc. Contienes información sensible a la hora de realizas análisis. Metavier, de PINPOINT es una aplicación gratuita que muestra los metatags que estan incrustrados dentro de estos archivos

Análisis de archivos de intercambio Pasos a seguir 21/28 Análisis de archivos de intercambio Internet explorer guarda una copia de las páginas visitadas en el disco duro. Se puede borrar el cache de disco desde el propio Internet Explorer. El problema es que esta opción borra todo el contenido del historial de internet (los archivos html, los gráficos, etc) pero no borra el indice de referencia que internet explorer usa para buscar dentro de su historial: el archivo index.dat. Estos archivos (hay varios index.dat) están definidos como ocultos y de sistema Desde el DOS C:\Documents and Settings\user_name\ onfiguración local\Historial\History.IE5> find /i "http://" index.dat | sort > C:\historial.txt

Análisis de periféricos Pasos a seguir 22/28 Análisis de periféricos Cada que se ponde un dispositivo USB queda registrado http://www.nirsoft.net/utils/usb_devices_view.html

Pasos a seguir 23/28 FD, CD, DVD

Pasos a seguir 24/28 Passwords

Métodos de ocultamiento 25/28 Cambiar los nombres y extensiones de archivos por ejemplo renombrar un archivo .doc a .dll Firmas de archivo

Métodos de ocultamiento 25/28 (cont) Encriptación: La información no está oculta, no se puede entender h o l a I p m b

Pasos a seguir 25/28 Esteganografía

Métodos de detección y recuperación Stegoanálisis Criptología Software

Análisis Forense de otros dispositivos 26/28

Análisis Forense de otros dispositivos 26/28

Evaluación 27/28 Datos que serán utilizados ?

Razones para la evidencia Rastreo de hábitos de Internet Fraude Extorsión Espionaje Industrial Posesión de pornografía Investigaciones de SPAM Distribución de virus Investigación de homicidios Propiedad intelectual Hábitos sexuales Piratería de software

La prueba informática Registros (de sesión) y otra evidencia de intrusión de una red Software pirata Pornografía y otras imágenes. Documentos normales, cartas,notas Correo electrónico, fax y otra correspondencia electrónicamente transmitida Información financiera y transacciones

La prueba informática Lista de clientes, víctimas, socios Archivos cache (memoria intermedia) Cookies de Internet y sitios visitados. Datos personales o de la compañía protegidos con contraseña Datos borrados o escondidos

La prueba informática Cuando es adecuadamente obtenida, es una fuerte evidencia, pero es más difícil el desafío de obtenerla que el testimonio de testigos u otros tipos de evidencia .

La prueba informática Frecuentemente el descubrimiento y presentación de la evidencia computacional puede traer investigaciones o preguntas además de las sugerencias y conclusiones exitosas

Presentación 28/28 Abogados, no técnicos, relación con la legislación

Manejo de la evidencia Admisibilidad de la evidencia La Ley determina qué evidencia potencial puede ser considerada en la Corte Debe ser obtenida de una forma que asegure la autenticidad y validez No se puede utilizar evidencia dañada, destruida o modificada, o comprometida por procesos de búsquedas Se debe prevenir la introducción de virus en el proceso de análisis La evidencia extraída debe ser apropiadamente manejada y protegida de daños físcos o electromagnéticos

Anti-Forense Software que limita o corrompe la evidencia Distorción u ocultamiento de información

Peritos y no peritos No se encuentran o recuperan los datos borrados No se recuperan las contraseñas de protección de datos No se encuentran o recuperan los datos ocultos Pérdida o corrupción de datos Colapso total de la computadora Asegurar la admisibilidad de los datos en juicio

Aunque es un rama nueva auxiliar para el mundo legal en nuestro medio, el empleo de forenses informáticos es una práctica casi obligatoria en el ámbito internacional

Experto vs. Forense Existe una gran diferencia entre el forense informático de un experto en informática, como lo es un médico de un médico forense

Experto vs. Forense Ingeniería de Software Ingeniería inversa No resolver problema operativo Explicar la causa y el por qué

Atacando la evidencia El primer método de ataque por la otra parte es intentar prevenir la introducción de esa evidencia atacando al examinador

Atacando la evidencia Dónde se formó? Qué experiencia tiene? El software que utiliza tiene licencia a su nombre? Alguna vez compartió el software con alguien que no fue autorizado para usar ese software?

Para finalizar Existen herramientas de HW y SW para el análisis forense informático, sin embargo es necesaria y obligatoria la formación complementaria de los profesionales informáticos.

G R A C I A S www.llanos.org